Amendă administrativă în valoare de 865 000 euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor companiei Aktia Bank pentru deficiențe de securitate în serviciul de autentificare electronică puternică

       Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 865 000 euro aplicată de către Autoritatea Finlandeză pentru Protecția Datelor (SA) companiei Aktia Bank pentru încălcarea articolului 5 (Principii legate de prelucrarea datelor cu caracter personal), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit) și articolului 32 (Securitatea prelucrării) din GDPR.

       Serviciul de autentificare electronică puternic al Aktia Bank a suferit o întrerupere din cauza unei modificări tehnice în ianuarie 2023. În timpul întreruperii de scurtă durată, unele persoane care s-au conectat la diverse servicii utilizând datele de autentificare pentru serviciile bancare online ale Aktia Bank au avut acces la datele cu caracter personal ale altor clienți, deoarece serviciul a confundat identitățile persoanelor. Breșa de securitate a afectat diverse servicii publice, fonduri de șomaj, companii de asigurări și furnizori de servicii medicale. Multe dintre aceste servicii conțin informații extrem de confidențiale, cum ar fi date privind starea de sănătate și situația financiară, astfel, fiind afectate aproximativ 350 de persoane. Până în prezent nu s-a raportat nicio utilizare abuzivă a acestor date.

       Investigația a evidențiat deficiențe în ceea ce privește: proiectarea și implementarea modificării tehnice, testarea insuficientă a noului sistem și lipsa unui management adecvat al schimbărilor. Testări mai extinse și utilizarea unor metode standard ar fi putut preveni incidentul.

       În acest context, SA Finlandeză a impus operatorului o amendă administrativă în valoare de 865 000 euro pentru nerespectarea cerințelor legislației privind protecția datelor referitoare la prelucrarea în condiții de siguranță a datelor cu caracter personal și la protecția datelor începând cu momentul conceperii și în mod implicit. De asemenea, a fost emisă o mustrare.

       CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.